(高清版)GBT 40444-2021 核电厂安全重要仪表和控制系统总体要求

GB/T40444—2021核电厂安全重要仪表和控制系统总体要求(IEC61513:2011,Nuclearpowerplants—Instrumentationandcontrolimportanttosafety—Generalrequirementsforsystems,MOD)国家市场监督管理总局国家标准化管理委员会IGB/T40444—2021 V 1 13术语和定义 24缩略语 5总的I&.C安全生命周期 5.1概述 5.2基于电厂安全设计基准的I&-C要求 5.3输出文档 5.4I&.C总体构架设计和I&.C功能分配 5.5总计划的制定 205.6输出文档 246系统安全生命周期 256.1概述 256.2要求 276.3系统计划制定 6.4输出文档 426.5系统鉴定 467总的集成和调试 7.1概述 7.2目标要求 7.3输出文档 8总的运行和维护 8.1概述 8.2目标要求 8.3输出文档 附录A(资料性)核电厂的基本安全问题 附录B(资料性)功能分类和系统分级 附录C(资料性)防御CCF的定性方法 图1本文件的整体结构 图2基于计算机的系统中硬件与软件的典型关系 9 ⅡGB/T40444—2021图4总的I&.C安全生命周期与单个I&C系统安全生命周期之间的关系 图5系统安全生命周期 图6系统鉴定计划中与产品和电厂特定应用有关的主要内容 图B.1I&C功能与I&.C系统之间的关系 图C.1I&.C系统安全组的功能分配示例 表1总的I&-C安全生命周期 表2I&C系统级别与I&.C功能类别之间的关系 表3系统安全生命周期 表B.1I&C系统典型的分级 ⅢGB/T40444—2021本文件使用重新起草法修改采用IEC61513:2011《核电厂安全重要仪表和控制系统总体要本文件与IEC61513:2011的技术性差●用修改采用国际标准的GB/T●用修改采用国际标准的NB/T13631代替IEC20342代替IEC●用修改采用国际标准的NB/T20055—2011代替IEC62138(见5.4.2.5、5.6.2、6.1、●用修改采用国际标准的NB/T20298—2014代替IEC●删除了IEC60780和IEC60980。GB/T40444—2021●修改了(系统特性的)评价的定义，采用GB/T18272.1—2000中的定义(见3.19);●修改了质量的定义，采用GB/T19000—2016中的定义(见3.38);●修改了可靠性的定义，采用GB/T7163—2008中的定义(见3.41);——删除了第4章中部分正文中未使用的缩略语。——按照GB/T1.1—2020的要求，规范了第1章的编写；-—将5.2.3.1注2中“不同国家对功能分类的规范性引用文件可能不同，并可能与本文件的引用 将A.4中纵深防御描述修改为和HAF102(2016)一致：——删除附录B中“IAEANS-G-1.3将这种分级理念扩展到仪表和控制系统。将I&C系统分为全有关系统对应A、B和C类)。并且IAEA和IEC使用的定义和概念也不同(IAEA的系统分级对应IEC的功能分类/系统分级),而这些差异可能导致不同的解释。”-—删除了附录D和附录E。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国核仪器仪表标准化技术委员会(SAC/TC30)提出并归口。VGB/T40444—2021安全重要仪表和控制(I&.C)系统可采用传统的基于模拟技术的设备、基于计算机技术的设备或这两类设备的组合实现。本文件对安全重要I&C系统的总体架构提出要求和建议，适用于包含上述任一项技术的I&.C系统。本文件强调了根据核电厂安全目标导出安全重要I&C系统完整和准确要求的必要性，这是制定I8.C总体架构的总体要求、并进而制定单个安全重要I8.C系统要求的前提。本文件提出了I&.C总体架构的安全生命周期以及单个系统安全生命周期的概念。它着重说明核电厂安全目标与安全重要I&.C系统总体架构要求之间的关系，以及I&.C总体架构与单个安全重要I&C系统要求之间的关系。可以遵循其他生命周期。本文件主要核心技术要素包括以下4个章节(图1给出了整体框架结构):●根据核电厂安全分析确定I&.C的功能需求以及有关的系统和设备，并确定I&.C功能分●建立I&C的总体架构，将其划分为多个系统并将I&C功能分配给系统。确定设计准则，包括提供纵深防御和最大限度降低共因故障(CCF)可能性的准则；●设计I&.C系统的总体架构。——第6章叙述单个安全重要I&-C系统的要求，特别是基于计算机系统的要求。其中，对单个安全重要I&.C系统的要求依据其所执行功能的安全类别而有所区别。——第7章和第8章叙述安全重要I&.C本文件包括3个资料性附录：——附录A给出了核电厂安全重要I&.C系统设计考虑的主要安全概念；——附录B提供关于功能分类和系统分级原则的说明；——附录C列举了安全重要I&-C系统对CCF敏感的例子，并给出了防御CCF的定性方法。VGB/T40444—20215.2基于电厂安全设计基准的I&C要求5.2.2功能、性能和独立性要求5.2.3分类要求5.2.4电厂限制5.5总计划的制定5.5.2总的质量保证大纲5.5.3总的安全防范计划5.5.4总的集成和调试计划5.5.5总的运行计划5.2基于电厂安全设计基准的I&C要求5.2.2功能、性能和独立性要求5.2.3分类要求5.2.4电厂限制5.5总计划的制定5.5.2总的质量保证大纲5.5.3总的安全防范计划5.5.4总的集成和调试计划5.5.5总的运行计划5.5.6总的维护计划5.6输出文档5.6.2构架设计文档5.6.3功能分配文档6.4输出文档6.4.2系统需求规格书6.4.3系统技术规格书6.4.4系统详细设计文档6.4.5系统集成文档6.4.6系统确认文档6.4.7系统修改文档6.3系统计划制定6.3.2系统质量保证计划6.3.3系统安全防范计划6.3.4系统集成计划6.3.5系统确认计划6.3.6系统安装计划6.3.7系统运行计划6.3.8系统维护计划6.5.3鉴定计划6.5.5鉴定的保持6.5.6文档3输出文档要I&C系统总需求规格书5总的安全生命周期：I&C总体架构的设计、计划及T&C功能对单个I&C系统的分配5.41&C总体架构设计和1&C功能分配要求5.4.2I&C架构设计5.4.3系统功能分配5.4.4必要的分析6.2系统生命周期各阶段的目标要求6.2.2系统需求规格书6.2.3系统技术规格书6.2.4系统的详细设计和实施6.2.5系统集成6.2.6系统确认6.2.7系统安装6.2.8系统设计修改6.5系统鉴定6.5.2通用鉴定和特定应用鉴定6.5.4互连系统的附加鉴定8总的运行和维护8.2目标要求8.38.2目标要求图1本文件的整体结构1GB/T40444—2021核电厂安全重要仪表和控制系统总体要求本文件确立了核电厂安全重要仪表和控制(I&.C)系统的总体要求，规定了总的I&-C安全生命周本文件适用于新建核电厂安全重要I&.C系统。对于现有核电厂安全重要I&.C系统的升级或改造GB/T13630—2015核电厂控制室设计(IEC60964:2009,MOD)GB/T13631核电厂辅助控制点设计准则(GB/T13631—2015,IEC60965:2009,MOD)GB/T15474—2010核电厂安全重要仪表和控制功能分类(IECGB/T17626.1电磁兼容试验和测量技术抗扰度试验总论(GB/T17626.1—2006,IEC61000-4-1:2000,IDT)GB/T17626.2电磁兼容试验和测量技术静电放电抗扰度试验(GB/T17626.2—2018,IEC61000-4-2:2008,IDT)GB/T17626.3电磁兼容试验和测量技术射频电磁场辐射抗扰度试验(GB/T17626.3—2016,IEC61000-4-3:2010,IDT)GB/T17626.4电磁兼容试验和测量技术电快速瞬变脉冲群抗扰度试验(GB/T17626.4—2018,IEC61000-4-4:2012,IDT)GB/T17626.5电磁兼容试验和测量技术浪涌(冲击)抗扰度试验(GB/T17626.5—2019,IEC61000-4-5:2014,IDT)GB/T17626.6电磁兼容试验和测量技术射频场感应的传导骚扰抗扰度(GB/T17626.6—2017,IEC61000-4-6:2013,IDT)GB/T19001质量管理体系要求(GB/T19001—2016,ISO9001:2015,IDT)NB/T20054—2011核电厂安全重要仪表和控制系统执行A类功能计算机系统的软件(IEC60880:2006,MOD)NB/T20055—2011核电厂安全重要仪表和控制系统执行B类或C类功能计算机系统的软件(IEC62138:2004,MOD)NB/T20060核电厂安全重要仪表和控制系统隔离(NB/T20060—2012,IEC60709:2004,MOD)NB/T20068核电厂安全重要仪表和控制系统应对共因故障的要求(NB/T20068—2012,IEC62340:2007,MOD)2GB/T40444—2021NB/T20298—2014核电厂安全重要数字仪表和控制系统硬件设计要求(IEC60987:2007,MOD)NB/T20342核电厂安全重要仪表和控制系统执行A类功能系统中的数据通信(NB/T20342—2015,IEC61500:2009,MOD)IEC60671核电厂安全重要仪表和控制系统监督测试(Nuclearpowerplants—Instrumenta-tionandcontrolsystemsimportanttosafety—Surveillancetesting)注2:应用功能通常是I&.C功能的子功能。注3:另见图2。注4:在应用复杂电子器件(如专用集成电路或FPGA)注2:另见图2。根据所执行的功能对于安全的重要性确定的I&C功能的三种可能的安全类别(A,B,C)。如果功3.6I&C系统的级别classofanI&Csystem根据所要实现的I&C功能的不同安全重要性所确定的安全重要I&.C系统的三种可能级别3GB/T40444—20213.7标准的过程。[HAF003(1991)]3.8注：共因可以是I&.C系统内部的或I&.C系统外部的。3.9复杂性complexity3.103.11其功能主要依靠或完全由微处理器、可编程电子设备或计算机实现的I&.C系统。3.123.133.143.15多样性diversity为执行某一确定功能设置两个或多个独立(或冗余)的系统或部件，这些不同系统或部件具有不同4GB/T40444—20213.16注2:设备可包含软件。3.17注2:一个设备族可以是某个制造商的一个产品，也可以是某个供应商集成的一套产品。库),这些功能块组合起来可生成特定的应用软件。3.183.193.20注1:设备只要不能执行功能即视为失效，无论此时是否需要设备运行。例如，后备系统中的失效可能只有在试验期间或被后备的系统失效要求该后备系统运行时才会暴露出来。3.21注1:另见图3。5GB/T40444—20213.223.23根据顶层的电厂功能和性能要求对应用功能规格书的正确性进行的验证。它是系统确认(验证系3.243.25注2:外部灾害的例子是地震和雷电。3.26电厂安全重要I&.C系统的组织结构。注3:本文件中，该术语仅指电厂整个1&.C体系架构的一个子集，即安全重要I还包括不分级的系统和设备。3.28I&C功能I&Cfunction注1:术语“I&.C功能”由工艺工程师用于构建I&.C的功能要求。一个I&.C功能按下述方法规定： ——包括为实现其功能目标所需的从传感器到驱动器的最小实体。3.29I&C系统I&Csystem服务和监督功能。6GB/T40444—2021注3:根据I8.C系统典型的功能特性，按自动控制系统、HMI系统、联锁系统和保护系统来区分I&.C系统(参3.30I&C系统架构I&Csystemarchitecture一个I&.C系统的组织结构。3.31兼有下列两个特性的设备：a)执行其所需功能的能力不受其他设备运行或失效的影响；b)执行其功能的能力不受要求它起作用的假设始发事件的后果的影响。3.32由一个过程的外部事件引起该过程(如计算机程序的执行)的暂停。3.33安全重要物项itemsimportanttosafety属于某一安全组的一部分和(或)其失效或故障可能导致对厂区人员或周围公众的辐射照射的物项。——其失效或故障可能引起厂区人员或周围公众受到过量辐射照射的那些构筑物、系统或部件；—-——防止预计运行事件发展为事故工况的那些构筑物、系统或部件；注1:本定义意图包括核安全的所有方面。注2:本文件考虑的物项主要是I&.C系统或I&.C功能。3.34总的I&C安全生命周期overallI&Csafetylifecycle从根据电厂安全设计基准导出I&.C要求开始，直到所有I&.C系统不再有效使用的时间期间内发注1:总的I8.C安全生命周期包括单个系统安全生命周期的要求。3.35设计期间确定的可能导致预计运行事件或事故工况的事件。3.36在总的I&.C安全生命周期的各阶段和(或)各个I&.C系统安全生命周期的各阶段，负责规定和执7GB/T40444—2021行与安全重要I&.C功能、系统和设备有关的管理和技术活动的组织或个人。3.37鉴定qualification确定系统或部件是否适合运行使用的过程。鉴定需要依据I&.C系统的规定级别与相应的一套鉴定要求来实现。注1:鉴定要求根据I&.C系统的具体级别和具体应用环境确定。注2:一般来说，I&.C系统是用一组相互配合的设备实现的。这些设备可以是作为项目的一部分开发的，也可以是首先对单个现有设备鉴定(通常在系统实现过程的早期);第二步对集成的I&C系统鉴定(即，最后设计的实注3:I&.C系统的鉴定总是一项电厂特定和应用特定的活动。但是，它很大程度上可以依赖于在特定电厂设计的框架之外进行的鉴定活动(这些鉴定活动称为“通用鉴定”3.38可感知或可想象的任何事物一组固有特性满足要求的程度。3.39为使物项或服务与规定的质量要求相符合并提供足够的置信度所必需的一系列有计划的系统的3.40冗余redundancy3.41可靠性reliability在给定状态下和给定时间间隔内某物项的属性(或系统)完成所要求使命的概率。注：基于计算机的系统的可靠性包括硬件可靠性和软件可靠性，硬件可靠性通常由鉴定确定，软件可靠性通常只能定性度量，因为目前还没有定量度量软件可靠性的公认方法。3.423.43安全组safetygroup安全组包括一个或多个序列。8GB/T40444—20213.443.453.46单一故障singlefailure3.473.483.493.503.51注1:另见“I&.C系统”。注2:I&.C系统不同于核电厂的机械系统和电气系统。3.52注1:系统安全生命周期参照总的I8.C安全生命周期活动。3.539GB/T40444—2021注1:系统软件通常由操作系统软件和支持软件组成。注2:操作系统软件：系统运行期间在目标处理器上执行的软件，例如，操作系统、输入/输出驱动程序，异常处理程注5:另见图2。3.543.55系统性缺陷systematicfault[来源：GB/T20438.4—23.56型式试验typetest(s)对代表产品的一个或多个物项进行的符合性试验。3.57验证verification通过检查和提供客观证据，证实该过程某种活动的结果是否符合为此活动规电厂设计数据电厂设计数据应用软件库冗余管理程序支持系统软件输入/输出驱动程序图形编辑器数据管理程序编译程序代码生成器输入/输出模块验证和确认工具服务单元等系统硬件硬件安装支撑电源装置异常处理程序自监督功能操作系统通信软件基于计算机的系统操作系统软件运行时间控制程序通信模块处理模块图2基于计算机的系统中硬件与软件的典型关系GB/T40444—2021实际需要实际需要需求规格书，设计和实现系统性缺陷(差错)系统正确随机失效系统错误执行过程碰到错误(故障)系统失效设计错误设计正确规定CCF:共因故障(Common-CauseFailure)COTS:商品级物项(CommercialOff-The-Shelf)FPGA:现场可编程门阵列(Field-ProgrammableGateArray)HMI:人机接口(HumanMachineInterface)I&.C:仪表和控制(InstrumentationandControl)PIE:假设始发事件(PostulatedInitiatingEvents)PLD:可编程逻辑器件(ProgrammableLogicDevice)5总的I&C安全生命周期本章的目的是规定：——如何从核电厂的安全设计基准(参见A.2和A.3)导出对安全重要I&.C系统架构的要求；——如何从这些总要求导出单个安全重要I&.C系统的要求。要把与I&C的设计、实现和运行相关的活动置于总的I&C安全生命周期的框架内。总的I&C安全生命周期又涉及单个I&.C系统的安全生命周期(见第6章)。典型总的I&.C安全生命周期包括下列阶段：a)电厂安全设计基准的审查(见5.2),包括：GB/T40444—20213)电厂设计框架的限制；b)安全重要I&.C功能、系统和设备总需求规格书的制定(见5.3);c)I&-C总体架构设计和I&.C功能对单个系统和设备的分配(见5.4);d)总计划的制定(见5.5);e)单个系统的实现(见第6章);f)系统总的集成和调试(见第7章);g)系统总的运行和维护(见第8章)。总的I&-C安全生命周期与单个I&-C系统的安全生命周期之间的联系以简化的形式表示在图4中。——总的I&-C安全生命周期是一个反复迭代过程，对每个阶段的输出应验证其与来自以前活动输入的符合性。如果已采用适当的配置控制以保证开发过程全面的一致性，即使前一阶段的活表1总的I&C安全生命周期章条号输入活动的目标范围输出5总的I&-C安全生命周期及其与系统生命周期的关系5.2基于电厂安全设计基准的1&.C要求功能、性能和独立性要求电厂安全设计基准文件电厂运行原则确定：——安全重要I&.C系统总的功能和性能要求；--—电厂纵深防御概念以及I8.C功能的独立性要求；——自动功能和操纵员任务安全重要的电厂系统和相关18.C系统确定5.3的输入要求分类要求电厂安全分类确定I&.C功能的分类完整性验证复杂要求的可行性验证安全重要的I&.C功能确定5.3的输入要求电厂限制电厂的布置文件和设计数据库确定：——电厂和(或)I&.C系统的——支持系统、电厂布置和环境条件的限制；——潜在的内部和外部的灾——电厂运行规程和维护原则电厂布置电厂系统I8.C系统确定构架设计的限制(5.4),确定单个1&.C系统需求规格书的限制(6.2)输出文档5.2的输出按功能、性能、独立性和分类要求编制安全重要I&.C系统总需求规格书I8.C系统I&.C总需求规格书GB/T40444—2021表1总的I&C安全生命周期(续)章条号输入活动的目标范围输出5.4I&.C总体架构设计和I8.C功能分配1&.C架构设计5.3的输出完成I8.C总体架构设计，恰当实现安全重要的18.C系统总需求针对潜在的CCF提供充分的防御措施I8.C功能和1&.C系统从自动化系统、HMI及连接关系、工具方面开展安全I&.C架构的详细设计(见5.6.2)系统功能分配5.4.2和5.5的输出(以6.4的输出反复迭代)将1&.C功能分配给单个I8.C系统和设备对单个I&.C系统提出要求(边界、分级、功能特性、可靠性和其他要求的特性)I8.C功能和I&.C系统系统和HMI应用功能的要求，I&.C系统设计和工具的要求(见5.6.3)必要的分析5.4.2和5.4.3的输出可靠性评定和对CCF防御的评定人因评定I&.C功能和I8.C系统可靠性评定和对CCF5.4.4.2)人因评定(见5,4,4.3)总计划的制定5.4的输出制定系统质量保证、安全防范、集成、调试、运行和维护的总计划工作指定活动的计划6周期5.6的输出确定和建立符合I&.C架构规定的I8.C系统单个I&.C系统表3中描述的输出7总的集成和调试5.5.4和6.3.6的输出对I8.C架构内互连的系统进行试验和调试系统完整的集成和调试的系统总的调试报告(见7.3)8总的运行和维护5.5.5,5.5.6和7.2的输出通过运行、维护和修复系统来维持安全系统功能实现的连续性运行和维护记录(见8.3)GB/T40444—2021总的总的T&C安全生命周期：电厂安全设计基准的要求I&C总体架构设计I&C系统n的安全生命周期系统需求规格书系统安装总的集成和调试总的运行和维护I&C系统1的安全生命周期I&C系统功能分配系统安装图4总的I&C安全生命周期与单个I&C系统安全生命周期之间的关系5.2基于电厂安全设计基准的I&C要求本条要求的目的是根据电厂安全设计基准和电厂设计框架导出I&.C系统需求规格书的输入要求和I&.C架构设计的输入限制。HAF102规定了一系列安全原则的设计要求，考虑所有相关的假设始发事件(PIE)和连续实体屏地响应所有PIE以及便于在事故后长期管理电厂。电厂安全设计基准规定了安全重要I&.C功能的功能、性能和独立性要求以及电厂运行原则，它是整个I&-C设计项目的固有因素。人机接口要求将运行原则与人机工程学因素结合起来考虑，以尽可能减少由人因造成的失效。I&.C设计过程需要电厂安全设计基准提供下述输入：a)电厂纵深防御概念(参见A.4)和应对PIE事故序列以实现安全目标的功能组(参见A.3);注1:在功能可靠性要求很高的情况下，电厂和I&.C的需求规格书规定对同一个PIE必须设置不同的防线，例如，两个或多个独立的且功能多样的物理触发准制的机械系统。注2:纵深防御的梯次配置可包括安全重要功能，也可包括其他功能。本文件的要求仅针对安全重要的那些功能。b)为满足总的安全要求所必要的电厂安全重要功能的功能和性能要求(参见A.4);注3:当需要进行功能确认时(见6.2.4.2),设计基准将提供由安全重要18.C系统控制的电厂变量的初始条件、允许限值和允许变化率。GB/T40444—2021c)自动系统和规定的操纵员动作在管理预计运行事件和事故工况中的作用；d)按GB/T13630—2015的6.3进行任务分析，规定哪些任务宜分配给操纵员，哪些任务宜分配e)为操纵员执行手动操作而显示的变量；f)自动与手动动作之间的优先原则，确定优先原则时宜考虑功能类别及操纵员所在房间或位置。核电厂中的功能、系统和设备是按它们对安全的重要性进行分级的。本文件依据GB/T15474将I&.C功能分类与I8.C系统分级分开考虑。分类过程将每个I&.C功能按其对安全的重要性归为某一类别。要求适用于为实现给定类别的功能所必要的整个物项系列，而无论这些物项如何分布于若干互连的I&.C系统。因此，规定I&.C系统的不同级别使其适合于实现规定类别的I&C功能是切实可行的。I&.C功能的分类是电厂安全设计基准的一部分，超出本文件的范围。本文件假定电厂安全设计基准已将安全重要的单个I&.C功能指定为A、B或C三个类别之一，并假定与这些类别相关的系统和设备的主要设计要求符合GB/T15474—2010第7章的要求。注2:不同实践的功能分类方法可能不同。现有核电厂采用本文件时也可能出现特殊情况(新的分类要求仅对改造I&.C系统的分级由I&C项目组织在I&.C功能分配给系统前的I&C架构设计阶段予以规定(见I&.C功能分类要求如下。a)I&.C功能分类应在电厂安全设计基准中提供，并应作为整个I&.C需求规格书的基准输入(见b)I&.C项目组织应对该分类进行审查并验证其完整性和可行性。在不具备可行性的情况下(如将由于电厂设计无法满足单一故障准则的功能分为最高安全类别),应根据电厂I&.C功能要求对I&.C功能的定义和分类进行审查。应反复审查功能要求及其分类，直到达到一个可行的解决方法。I&.C系统的架构设计(见5.4)受电厂设计框架的限制。a)I&.C项目组织应确定由电厂布置、与电厂设备的接口以及I&.C外部事件所产生的对I&.C设1)I&C系统和设备与电厂系统之间的边界，包括与电气和(或)机械驱动系统及与辅助系统3)在要求I&.C系统运行的正常、异常和事故工况下，驱动和控制电源的瞬态和稳态条件的GB/T40444—20214)对安装和电缆布线的限制。5)诸如控制室和电缆敷设间等汇聚点对安装和电缆布线的特殊限制。6)对接地和电源配电的限制。b)I&-C项目组织应确定由营运单位的运行原则施加于18.C设备的限制，包括：1)安全防范的限制。2)运行和维护的限制(见GB/T13630—2015的5.6)。3)I&-C系统的在役维护的限制。通常，这将产生用于指导I&.C架构细分为不同子系统的附加要求。需要考虑的方面包括：活动。I&.C系统的细分宜考虑该边界条件。2)在其他子系统保持正常运行的情况下，可以合理安排，选择电厂和I&.C定期试验和变更活动。3)对I&.C系统进行细分时，宜分析并考虑运行人员责任分配和责任共担的影响。4)宜确定维护和诊断工具与维护工作站的相关要求，包括它们与工程系统接口的要求。这也包括维护人员人机接口以及与电厂管理系统接口的相关要求。5.2中所述活动的输出文档是安全重要I8.C系统需求规格书。功能。这些需求规格书的进一步分解将产生单个I&.C系统的子功能的需求规格书。这将取决于I&.C架构a)每个18.C功能应建立一个需求规格书，它包括：注2:这包括过去在模拟系统可忽略的对动作及时性的要求。3)功能类别。注3:功能分类隐含了为实现功能所需的18.C系统的最低级别要求(见表2)。b)总需求规格书应规定功能之间的各种相关性，这些相关性将对I&.C系统的功能分配产生限1)触发保护动作的各种监督功能的组合；2)保证纵深防御的各种功能的组合；3)构成一个安全组的各种功能的组合。c)应对所有I&.C功能的需求规格书进行验证，以保证需求规格书所规定的功能和限制条件是完善规格书使其包括所有的传感器和驱动器。对原来未考虑到的任何追加的驱动器的控制还需进行评定和适GB/T40444—2021表2I&C系统级别与I&C功能类别之间的关系安全重要I8.C功能的类别对应的安全重要I8.C系统的级别A1B2C35.4I&C总体架构设计和I&C功能分配——5.2.4的限制和5.3的要求如何应用于安全重要I&C系统总体架构(简称“I&C架构”)的——I&.C功能如何分配给单个I&.C系统。5.4.2I&C架构设计I&.C架构设计提供核电厂I&C系统的顶层规定，其中包括这些系统之间通信的规定以及为保证这些系统之间接口的一致性所需工具的规定。18.C架构设计总的要求如下。a)I&.C架构设计应包含为实现5.3规定的安全重要I&-C功能所需的所有I&C。b)I&.C架构设计应将整个I&.C分解为不同的系统和设备，以满足下述要求：2)不同级别系统的充分隔离；3)满足实体分隔和电气隔离要求，这些要求是由环境和布置限制、灾害分析以及启动活动、c)I&.C架构设计应提供足够的系统和子系统，以便使A类功能在所有允许的电厂和系统配置下都能满足单一故障准则。d)每个18.C系统应按其所实现的I&.C功能的最高类别进行分级。e)与电厂的接口以及I&.C系统之间的互连应规定为架构设计的一部分，以便确定：l)不同安全重要功能所共用的(测量)信号；2)来自不同系统的驱动信号的表决方式以及它们之间的优先权；3)不同防线中自动和手动驱动功能所共有的信号路径和设备。a)I&.C架构设计应规划电厂不同控制和监督区域的HMI系统，这些区域包括主控制室、辅助控GB/T40444—2021制室、就地控制盘和应急指挥中心，并应满足电厂运行和维护限制(见5.2.4)所要求的冗余度b)I&.C架构设计应遵循电厂设计基准1)自动信号与手动控制信号之间的优先原则；2)正常、事故和事故后运行期间不同HMI系统之间的优先原则；3)正常和后备HMI系统之间的优先原则；4)正常和后备HMI系统之间切换条件的原则。c)架构设计应规定，由单个系统的诊断设备所探测的缺陷或故障如何向电厂操纵员通告。通告1)立即发现故障指示并将其与其他运行指示区分开；2)决定是否需要采取手动操作将电厂带入安全状态；3)将有问题的系统通告适当的维护人员。注1:手动控制操作是指使用控制器和反馈信息显示。不考虑对I&.C设备的直接干预，例如插入模拟针脚或断开d)应证明I&.C架构设计符合HMI系统的基本技术选择(如计算机化的或常规的)。如更复杂的系统提供更好的信息可减少执行命令中由人因导致的失误，则宜用更复杂的系统向电厂操纵员表达信息。除了考虑人因失误的可能性外，对于基于计算机的信息系统宜同时考虑CCFe)I&.C架构设计应：1)按电厂设计基准的任务分析将功能分配给手动控制或自动控制(见5.2.2);2)确定I&.C系统处理信息所需的处理能力，以及完成规定的操纵员人机交互任务的能力(见GB/T13630—2015的6.3.3);3)保证操纵员为执行手动控制操作可用的信息、HMI特性和时间符合电厂设计基准的要求f)在电厂主控制室和其他控制区域设计中，应采用基于GB/T13630和GB/T13631的人因技术以保证HMI的有效性。注2:相关的操纵员任务(尤其对经常执行的任务，时间要求紧迫的任务或人因失误会增加风险的任务)及其性能要求是人因分析的起点，这可以使显示与控制适当地集成。g)在设计分析中应考虑操纵员的任务及HMI要求的最优化，在此过程中，应同时考虑安全重要任务和非安全重要的任务。组成I&.C架构的系统之间的数据通信包括采用串行数据通信在一个或多个路径上传送一个或多个信号或信息的所有链路。a)通信链路应能满足所有电厂要求工况下的总体性能需求(见5.3)。b)通信链路的架构和技术应保证满足系统之间的独立性要求。除满足实体分隔和电气隔离要求c)通信链路应包括检查通信设备运行状态和所传送数据完整性的措施。d)宜提供冗余的通信链路以应对失效。e)通信链路的设计应满足NB/T20342和NB/T20060的要求使得与低级别系统的数据通信不能危害高安全类别功能的数据通信和运行。GB/T40444—2021a)I&.C架构设计应包括工具的规定(见NB/T20054—2011第14章和NB/T20055—2011的5.2.4和6.2.4),这些工具通常以计算机为基础，用于保证在协同工作的I&.C系统之间所交换注：单个系统特定的工具在系统技术规格书阶段予以规定(见6.2,3.2)。b)工具宜用于总的安全生命周期的所有阶段，有利于保证安全重要功能的质量和可靠性，例如1)与I8.C系统之间接口设计有关的所有方面；2)分布式功能的总的集成和调试。c)应分别按照NB/T20054(对1级系统)和NB/T20055(对2级/3级系统)的要求选择工具，并规定能获得高质量输出的方法。5.4.2.6对CCF的防御在采用冗余架构的I&.C系统中，如果两个或多个冗余通道同时失效(即，冗余通道的表决结果失效),则采用这种设计的I&C系统就会失效。如果一个或多个潜在的缺陷系统性地存在于几个或所有系统性潜在缺陷的根源大部分是与人因失误有关的。它们可能在I&C系统生命周期的任一阶段引入。与仅采用模拟技术相比，计算机的应用允许使用更复杂的算法和处理。而且，基于计算机I&.C的设计难度(包括底层I&.C平台设计相关的活动)比模拟I&.C更高，设计也可能更复杂。对I&.C系统CCF的防御包括下述层次。a)宜对1级系统的应用功能需求规格书进行功能确认(见6.2.4.2.1),以降低需求规格书中存在潜在缺陷的可能性。缺陷的可能性。对1级、2级和3级系统，这些要求宜依次降低。c)1级I&.C系统及其支持系统的运行不应受电厂过程的影响，以最大限度降低触发潜在缺陷的可能性(例如，缓解PIE的硬件部件不应受PIE造成的不利环境条件的影响；软件执行的调度不宜依赖于电厂信号)。d)应对1级系统进行分析，以确定可能的CCF源以及可能触发假设潜在缺陷导致失效的机制。在分析时应特别关注通信链接和数据传输装置以及负载随需要而变化的部件。宜针对可能的CCF源及其影响来评定这类部件可能的失效模式和失效序列。分析也宜包括那些对于缓解1级系统假设CCF后果是可信的相关安全组的系统。如果安全重要功能的假设失效可能导致不可接受的后果，则需要有应对CCF的设计。这通常针对A类功能和一部分B类功能(见GB/T15474—2010的5.1和5.2)。e)对安全组要求高可靠性，并由此考虑CCF源及其影响的地方，I&.C架构设计宜使用多样性原则。宜考虑功能多样性、信号多样性和设备多样性措施。如果采用多样性来防御CCF,则架构设计应包括多样性措施(用于最大限度降低CCF的可能性)有效性的分析。GB/T40444—2021f)从确定论安全角度，如果采用1级和较低级别的I&C系统作为有效应对设计基准事故的不同的防线，这些I&-C系统应是独立的。如果任一I&.C系统的单一假设故障不会妨碍其他系统执行预期功能，则这些I&.C系统可认为是独立执行安全功能。独立的I&.C系统应运行在不同的信号轨迹。这可以通过多样性(如设备多样性或功能多样性)来保证。关于执行A类功能系统内的CCF应对措施应满足NB/T20068的要求。注2:宜进行电厂安全分析层面的活动，以验证应对I8-C失效的设计措施将处于规定的A类、B类或C类功能管理功能分配过程将5.3中确立的安全重要I&C功能的总要求分配给I&.C架构的单个系统。必要时，一项功能可分解为若干个子功能并分配到多个系统。所有功能或子功能都称为I&-C系统的应用功a)应用功能的功能和性能需求规格书应说明I&.C功能的总要求。如果一个功能分布于多个系注1:这包括对规定的概率目标的实现进行评估。b)应用功能的功能和性能需求规格书应包括所有辅助的确认、联锁和监督功能(这些辅助功能是在I&.C架构设计阶段确定的),例如，互连系统的状态和运行模式，从其他系统所接受信号的确认。c)应用功能对系统的分配应符合表2中规定的系统级别与功能类别的有关原则。d)A类功能应分配给满足单一故障准则的系统。e)将同一安全组的A类功能分配给系统时，应考虑5.4.2.6规定的对CCF的防御措施。图C.1给出了不同类别功能分配的例子。f)将应用功能分配给系统时，应尽可能降低1级系统的复杂性。注3:这点尤其适用于新电厂。但在采用基于计算机的系统替代模拟系统的情况下，通常是将原先分配给模拟系统注4:采用如下设计方法可以降低系统的复杂性：——避免使用不能清晰定义和确认的复杂算法和处g)系统中实现的每个应用功能所要求的可靠性应与预计可达到的限值(包括考虑CCF)相一致。h)系统功能分配过程所生成的记录应清晰地识别每个系统执行的功能(即应提供可追溯性)。需要进行分析，以验证I&.C系统的架构设计及功能对系统的分配。这样的分析是与设计过程一起进行的反复迭代过程(见第6章)。5.4.4.2可靠性评定及对CCF防御的评定20GB/T40444—2021a)宜对安全重要I&.C系统的可靠性进行评价。评价宜包括对公共服务设施(例如，电源和气源c)应对执行A类功能的安全组的CCF弱点进行评价，以评价应对CCF措施的有效性并确定总体架构潜在的薄弱点。d)应分析系统的设计文件(见6.4.4),以确定在一个包括A类功能的安全组内支持不同功能的共用的或相同的硬件部件或软件部件。如果在不同防线中发现共用的或相同的物项，则应证明e)还没有公认的方法可定量评定对CCF的可能性，因此用于估算CCF可能性的方法基本上是定性的(参见附录C)。宜在设计开始时规定所使用的方法。注1:上述建议和要求的目的是为了避免在后期因需求变化而要求对系统计划和设计进行修改，在这种变更中引入的差错是造成CCF的潜在原因。注2:CCF分析的详细程度可取决于系统所支持的功能类别，并将证注3:软件所导致的CCF的分析要求在NB/T20054—2011的13.3中给出。架构设计的验证宜包括人因要求的分析以实现HMI系统设计的最优化。5.5总计划的制定本条提出总计划的制定要求，以保证总的I&.C生命周期对所有单个I&.C系统的共同要求得到考虑，并保证分布于I&.C系统的安全重要I&.C功能要求在系统的整个生命周期内得到实现并保持。这部分内容应结合6.3要求为单个I&.C系统制定计划。总计划应在相应的活动启动前予以制定。本文件假定已存在符合HAF003要求的核电厂项目总的质量保证大纲或最好是集成管理系统，并作为核电厂项目的一个组成部分用于控制各项活动。a)应制定并执行I&.C系统的质量保证大纲，该质量保证大纲应针对I&.C安全生命周期有关的各项活动。b)质量保证大纲应包括为达到质量要求所有必要的活动，以及为验证已经达到质量要求所开展c)应在验证计划中规定各项验证活动。验证计划包括总的I&.C安全生命周期每个V&.V阶段1)验证活动的程序和工具；2)需要保存和验证的记录；3)需要验证的安全有关方面；4)错误和不符合项的纠正程序；5)表明每个阶段完成的准则；21GB/T40444—20216)需要产生的最终报告，最终报告应表明每个阶段的输出与输入要求相符合或偏差的解决。d)核电厂项目总的质量保证大纲应对I&.C系统质量保证大纲做出规划，并将其包含在核电厂项需要安全防范措施以防止安全重要系统内所处理的信息遭受未授权的修改，包括未授权的操作(完注1:对核电厂18-C系统，完整性和可用性要求超过保密性要求。软件(程序代码以及参数和数据)在设计和维护过程中可能特别容易受到攻击。需要考虑的威胁包条件下触发的。注2:非预期修改的威胁在系统需求规格书中说明(见6.2.2.5)。总的安全防范计划规定所应采取的程序性的和技术性的措施，以防止I&.C系统架构遭受可能危及安全重要功能的、恶意的和高智力水平的攻击。总的安全防范计划的规定可以对1级、2级和3级系统a)应制定I&.C系统安全防范计划，确定安全重要功能和系统的安全防范要求(见6.3.3)。b)对未授权的访问和修改的风险应在生命周期的所有阶段(从开始到退役)以系统性的方式来管理。这包括产品研发和工程样机以及将安装于电厂的I&.C系统。应考虑物理访问和远程c)系统的安全防范措施自身应对系统的可靠性和可用性没有显著的影响。d)为连续高水平地维持系统的安全防范特性，应制定现场特定的安全防范政策。它应包含下列e)执行安全重要功能的系统应进行实物防护，以防止未授权的接近。对执行A类功能的系统，f)不应提供从电厂外部对执行A类和B类功能的系统进行远程访问的功能，也不宜提供从电厂外部对执行C类功能的系统进行远程访问的功能。如果提供通过数据链接从内部或外部访统失效的风险。注3:防止对系统的访问并不排除系统对外发送数据。h)对执行A类功能的系统的安全防范记录，应定期进行检查；对执行B类和C类功能的系统的5.5.4总的I&C集成和调试总的I&.C集成是I&.C系统在现场安装、互连、试验、校准和准备投入使用的所有现场技术活动和行政管理活动的集合。总的调试是在电厂投运前为保证所安装的系统和电厂满足服务要求所必要的所有现场技术活动和行政管理活动的集合。GB/T40444—2021总的I&.C集成和总的调试过程完成单个系统的确认和安装(见6.2.6和6.2.7)。应满足以下要求。a)I&.C系统在现场集成后，对分布于系统内的安全重要I&.C功能，其总的功能和性能需求规格书应按所有规定的电厂运行模式予以确认。b)通过考虑其他阶段的测试范围(如在制造厂或现场完成的集成和功能测试，或对非首建核电厂的姐妹电厂完成的测试),可以确定应执行的总的集成和调试活动范围。应证明简化总的验证注2:在制造厂完成大部分的集成测试以最大限度减少集成I&.C系统的现场测试是良好实践。宜在项目早期制定如何将必要的测试分配到不同环境(使用模拟或仿真信号测试、在制造厂的集成测试环境中测试，现场测试)的测试策略。通常，这些测试是电厂业主对I&C系统验收工作的一部分。NB/T25040对进行和记录工厂验收试验(FAT),现场验收试验(SAT)和现场集成试验(SIT)提供了实际可行的建议。5.5.4.2总的I&C集成计划应在核电厂项目总的质量保证大纲的框架内制定总的I&-C系统集成计划。除5.5.2关于质量保证1)互连系统的所有接口工作正确；2)故障探测、纠正措施和相关数据的显示按I&.C功能的需求规格书正常工作。注：抗扰度试验通常需要将测量(如建立类似现场的条件)、试验(如对子系统的)和分析相结合。而且，GB/T17626系列的其他部分为测量和试验提供了指导。c)应验证所有设备和电缆屏蔽到接地母线的接地和等电位连接是正确的。d)应对系统在失去和恢复外电源情况下以及在电源尖峰情况下的响应进行试验，以验证系统在电源中断和恢复情况下的性能和可用性。e)应验证I8.C系统使用地点的环境条件符合规定。f)应对系统之间交换的模拟信号和逻辑信号进行测试，以表明向不同的安全重要功能提供的数安全重要的系统一起进行这些试验，除非能设计出较简单的方法证明发送给该系统的所有数员接口和控制切换(如手动/自动)。信息是正确的。试验宜确认控制模式切换和时间顺序是正确的。i)应对数据通信进行试验，以验证数据传输正确、响应时间(从发出命令到收到驱动器状态的正确指示)是可接受的。试验宜在模拟的正常运行工况、事故工况和最坏工况以及模拟的存在硬件失效的条件下进行。应在电厂系统调试计划框架内制定总的I&.C调试计划，以完成I&-C系统的确认。下述要求涵盖了总的电厂调试程序中I&.C特定的方面：GB/T40444—2021功能和性能符合总需求规格书；b)在电厂调试期间，应验证和更新I&.C系统的运行和试验规程。总的运行计划叙述互连的I&C系统的运行。总的运行计划补充单个I&C系统的运行计划(见应在质量保证大纲的框架内制定总的I&-C运行计划，除5.5.2关于质量保证和验证的一般要求外，还应包括下述要求。a)计划应描述：2)用于验证系统可以有效地执行安全重要功能的手段；3)为保持安全重要功能要求的可靠性，在电厂运行期间需要执行的例行工作，例如，定期b)计划应规定能对系统参数和控制实施修改的条件，并规定这些修改对系统运行的影响以及对电厂运行和安全的影响。计划还应指出哪些修改是可进行的：2)在行政控制下，并在设计者批准后以及通过适当的试验和验1)在系统失效或来自系统外部的危害条件下所应采取的动作，以及对系统和电厂运行的总的维护计划着重于互连的I&.C系统层面上的维护活动，它补充和协调单个I&.C系统的维护计应在质量保证计划的框架内制定总的I&.C维护计划。除5.5.2关于质量保证和验证的一般要求a)应对单个I&.C系统的维护活动设置限制，以保证对电厂安全的任何影响都是可接受的。特别是在需要时，系统在维护期间应继续满足单一故障准则。计划应确定什么设备可从运行中移b)受事故环境条件影响的I&-C系统部件应采用系统性的方法进行试验和更换，以减少其CCF的可能性。该方法宜保证，遭受辐射因而可能加速老化或改变物理特性的系统部件(如电缆、传感器)、或负载会根据要求而改变(如功率放大器或继电器的切换)的系统部件，在它们执行安全功能的能力下降到不可接受之前得到更换。注1:更换时间间隔可由代表性设备的加速老化确定。注2;老化管理的指导见GB/T29308。c)如果维护活动涉及配置或校准数据的调整，它们应由文件化的程序加以控制，该程序文件应保证：1)维护校整处于规定的限制内，(这种限制可能是由系统设计和电厂设计基准施加的，在这24GB/T40444—2021种情况下对维护人员不需要正式的限制);2)如果这种调整要在系统正在使用期间进行，则应满足5.5.5的3)保存所有维护调整的记录。本条给出从事I&.C工作的电厂人员的培训要求。a)应为电厂操纵员和I&.C专业人员提供运行和维护人员培训大纲。2)教员和学员用的培训材料、合格教员的可用性；3)培训评价；4)加强反馈以改进培训的效果。c)操纵员培训应针对在正常和异常的电厂工况下的操作，应使用所有相关的操纵员接口设备和I&.C功能。d)该大纲宜包括识别硬件失效和软件异常的特定培训。对用户文档有如下要求：a)应提供I&.C系统的用户文档供运行和维护人员使用；b)用户文档宜规定每个操纵员接口设备，并按其复杂性对每个设备的每项功能予以解释和说明；c)培训应使操纵员和维护人员熟悉与他们任务相关的用户文档。a)操纵员和维护人员的培训应在能完全代表被培训系统和设备特性的培训系统上进行。培训系统在性能和使用方面的限制应是已知的且形成文件。b)操纵员培训用的模拟机应提供真实的控制室接口并具有实时模拟电厂行为(包括I&C系统)I&.C架构设计和功能分配过程的输出文档为I&-C架构中单个系统的需求规格书提供必要的输入对架构设计文档有如下要求。a)单个I&.C系统的输出文档应规定：1)来自电厂设计框架的设计限制(见5.2.4);25GB/T40444—20212)来自I&.C架构设计的设计限制(见5.4.2);3)系统之间的实体边界和功能边界。b)宜在文档中列出所使用的设计工具，以说明每种工具如何用以支持系统生命周期的设计活动。注：关于1级系统的软件工程方法和工具要求在NB/T20054—2011的第7章、第14章和第15章中给出，关于2级和3级系统的软件工程方法和工具要求在NB/T20055—2011的5.2.1和6.2.1中给出。对功能分配文档有如下要求。a)输出文档应规定分配给每个系统的应用功能(见5.4.3)的功能要求、性能要求和可靠性要求。表达。c)需求规格书的主要用户是单个I&C系统的系统需求规格书的编制人和电厂操纵员。宜为这些人员选择适合的软件和系统工程的方法及工具。6.1概述I&.C架构设计确定执行安全重要功能的单个I&C系统(见5.4.2)。本章提出这种单个I&C系统的目标和要求。本章的要求是针对基于计算机的系统。注：这些要求的大多数也适用于常规的I&.C系统。的实现是通过把与系统开发、实现和运行相关的活动置于系统安全生命周期的框架内进行。系统安全生命周期又涉及总的I&.C安全生命周期的各项活动(见第5章和图4)。典型的系统安全生命周期包括下列阶段：a)系统需求规格书；b)系统技术规格书；c)系统详细设计和实现；d)系统集成；g)系统设计的修改(如有)。因为鉴定可以部分独立于系统开发生命周期进行，所以将系统的鉴定单独考虑。这符合日益依赖于现有设备的实际情况。图5表示典型的系统安全生命周期，并指明与NB/T20054、NB/T20055和NB/T20298的软件和硬件生命周期的关系。表3给出典型系统生命周期各项活动的目标、输——对所有安全重要系统都适用的通用要求；系统生命周期是一个反复迭代的过程。每个阶段可在其前一阶段的各项活动完成前开始，但一个GB/T40444—2021章条号输入活动的目标输出6系统生命周期的要求及其与总的安全生命周期的关系6.2.2系统需求规格书5.6;5.5的输出6.3.2,6.3.3的输出制定系统需求规格书：——功能；-——设计限制；——与其他系统和工具的边界和接口；-—与人的接口；——环境条件系统需求规格书应用功能需求规格书6.2.3系统技术规格书6.2.2的输出候选的现有设备的文档6.3.2,6.3.3的输出评价和确定将集成于系统设计中的、候选现有设备的适用性进行系统架构设计以实现系统需求规格书将应用功能分配给子系统系统技术规格书(见6.4.3),包括：——设备选型及适用性分析——系统架构———软件规格书6.2.4系统详细设计和实现6.2.3的输出5.2.2的输出6.3,2,6.3.3的输出扩充和细化架构设计开发硬件和(系统和应用)软件确认应用功能要求系统详细设计文件(见6,4,4)功能确认和可靠性评定(见6.2.4.2)硬件和软件子系统和部件6.2.5系统集成6.2.4的输出6.3.2,6.3.3,6.3.4的输出组成系统的单个硬件部件和软件部件的装配集成报告集成的系统6.2.6系统确认6.2,3,6.2.5的输出6.3.2,6.3.3,6.3.5的输出系统的确认(见注)系统确认报告6.2.7系统安装6.2.6的输出6.3.3,6.3.3,6.3.6的输出系统的安装和测试安装报告现场安装和测试的系统6.2.8系统设计修改修改申请(如果有)6.3.2,6.3.3,6.3.8的输出系统的改正、提高或匹配修改报告修改的系统系统计划制定5.5,6.2的输出制定确认计划、安装计划、运行和维护计划、安全防范计划系统计划系统鉴定6.3.2,6.3.3的输出制定鉴定计划并执行鉴定文档注：单个I&.C系统的确认在总的I&.C集成和电厂调试框架中完成(见5.4.4)。电厂调试不属于本文件的范围。GB/T40444—2021现有设备和(或)设备族的选择(注1)(注1和注2)设备(系统软件和硬件)采购系统集成(注1)系统确认(注1和注2)系统安装(注2)系统修改(注1和注2)应用软件的开发(注1)和(或)生成开发(注1和注2)注1:这项活动的软件要求(包括现有软件的使用)见NB/T20054和NB/T20055。注2:对1级和2级系统，这项活动的硬件要求见NB/T20298。图5系统安全生命周期6.2要求本条规定系统安全生命周期的要求。这些要求包括与下述项目有关的特性：——通过功能分配过程分配给系统的特定功能；——按照系统分级使系统适合于实现特定类别的安全重要功能的一般特性。注：GB/T15474-2010的第7章给出了I&.C功能的基本要求以及对不同类别I8-C系统和设备的特定要求。本文件在对系统或功能分别制定要求时，适当考虑了这些要求。6.2.2系统需求规格书本阶段的目标是提供系统要求的高层次描述，而不涉及采用的具体技术方案的决策。但是，在I&.C总体架构层次规定的特殊要求(例如对CCF的考虑)可能对采用的技术产生限制。描述I&.C总体架构和功能分配的输出文档(见5.6)是系统需求规格书的输入之一。本阶段的输出文档用作需求提出者与方案设计者之间进行交流的参照文件。系统需求规格书的内容应包括：a)系统的功能；b)总体性能要求；28GB/T40444—2021c)对系统设计的限制；d)与其他系统的边界和接口；e)与用户的接口；f)系统适用的环境条件；g)所要求的鉴定。所需考虑的功能要求包括对各个应用功能的要求和对系统服务功能的要求。安全重要应用功能的需求规格书由功能分配过程确定(见5.4.3)。a)每个应用功能的需求规格书应规定。1)功能特性，包括输入和(或)输出的范围和整定值(允许范围另作规定)。对停堆功能，规格书还应规定整定值与允许值之间的裕度(即包括由校准误差或仪器漂移所造成的不确定度)。2)性能特性，包括准确度和响应时间。适用时，为不同的电厂初始工况和PIEs规定不同的性能要求。3)适当的信号过滤，信号确认和联锁，以实现后备的运行模式和最大限度减少可能的误动作。b)每个应用功能的需求规格书应指明其类别，并指明其是否与同一安全组中的其他功能有独立性要求。功能分配过程对每个功能类别规定I&-C系统的最低级别。同时考虑同一安全组中各个功能之间的独立性要求(单一故障准则、对CCF的防御设计),通过这些因素可定性评估一个安全组的功能或功能组的可靠性。定量可靠性目标可以与每个应用功能相关联，以补充确定性的设计过程并辅助系统设计和电厂设计基准的验证。可采用广泛应用于硬件部件的技术评价设备满足可靠性目标的能力，但尚无公认的用与应用功能不同，服务功能与工艺过程有关功能的实现没有直接联系，但与对系统的特定活动有服务功能的需求规格书是由系统需求规格书的编制者确定的。这些功能要求的明确程度可按情况服务功能要求宜考虑各种系统计划中给出的相互影响和限制(见6.3)。下述要求是对设计限制的规定，这些限制会影响系统设计及功能在系统中分配的解决方案。限制GB/T40444—2021a)满足与应用功能的类别相关的要求；b)保证系统将按规定起作用；c)能够和方便证明系统正确运行。系统架构受系统实现功能的类别(见5.4.3)以及纵深防御原则(见HAF102(2016)的2.4)限制。a)一个系统可实现其级别所允许的最高类别的功能(见5.4.3),同时也可实现较低类别的功能。1)每个子系统的设计要求应不低于由该子系统所实现的最高类别功能所需要的设计要求；2)系统设计应保证，在较低级别设备失效的情况下，较高级别子系统和设备的要求仍得到满足。b)系统设计应包括必要的冗余和其他特性，以提供容错(见6.2.3.3.4)并满足安全重要应用功能注1:系统也可包括为满足可用性要求的冗余，这种冗余要求宜在系统设计层面上规定。c)系统设计应满足独立性要求(见NB/T20060和6.2.3.3.3),以便：1)防止故障从较低安全重要的系统蔓延到较高安全重要的系统；2)防止故障在提供A类功能的冗余列之间蔓延。d)执行A类功能的安全组中系统的设计应包括足够的冗余，以便在运行和维护期间满足单一故障准则(见6.2.3.5的e)]。注2:软件造成的失效是系统性失效而非随机失效，因此，无法以与硬件设计相同的方式将单一故障准则用于系统的软件设计。在每个系统和I&.C架构的层面上考虑由软件CCF在每个防御线内和冗余子系统间所造成的可能影响(见NB/T20068)。6.2.2.3.3系统内在特性系统内在特性设计要求如下。a)基于计算机的系统设计宜保证系统具有可预见的、满足所实现功能的性能要求的特性。注1:如果在所有要求的条件下激励源与响应之间的时间延迟有一个可保证的最大和最小值，则可认为基于计算机b)应选择通信技术并决定其规模，以便在各种预计电厂瞬态(包括全厂断电情况下的雪崩式状态改变)产生的所有数据负荷下满足性能要求。c)为高度保证确定特性，1级系统宜采用如NB/T20054—2011中附录C那样的技术(特别是关于执行时间的C.3.4和关于中断的C.3.5)进行开发。采用静态调度方式运行的技术(见注2)要比采用中断方式更可取。注2:“静态”定义为计算机程序在运行期间保持不变的特性(如启动后在运行期间既没有生成也没有破坏数据结d)2级系统可采用与c)中规定不同的技术进行开发。在这种情况下，系统设计宜保证系统将在所有要求的电厂工况下充分执行其功能(详见NB/T20055—2011)。e)为增强1级系统和2级系统承受非预期工况的能力：GB/T40444—2021设计裕度的充分性；a)系统宜设计成可以尽早地探测出差错和故障，以保持所要求的系统可用性。自测试功能可以探测故障，但会给系统引入复杂性，两者之间宜取得平衡。NB/T20054—2011的6.2和附录B.2.2关于自监督的要求宜对每个级别的系统都尽可能考虑。故障输出切除)。d)对1级系统，自测试功能应满足NB/T20054和NB/T20298的要求。可试验性要求如下：4)输出驱动的试验。b)应采用IEC60671的原则。d)系统应设计成能对系统维修和重新校准的正确性进行确认。这应包括下述检查：1)正确恢复电气连接；2)正确校准模拟量测量值以及各种相关报警阈值；3)系统具备执行其安全重要功能的能力。注：NB/T20298—2014中第11章的维护和试验要求适用于安全重要的1级和2级基于计算机的系统。e)当设备布置在通常情况下不能接近的位置(如反应堆安全壳内)时，宜对其设计给予特殊考虑。为保证系统在I&.C架构中的集成，应按第5章的有关要求规定下述信息：a)系统在电厂中预期的安装位置和物理限制(见5.2.4);GB/T40444—2021b)系统与支持系统和设备之间的物理接口和功能接口(见5.2.4);注：安全重要18.C系统的电源要求见NB/T20071。c)系统和与其交换信息的其他系统和设备之间的物理接口和功能接口(见5.4.2.4);d)与软件工具的接口，这些软件工具用于规定系统之间的数据交换并验证交换数据的一致性(见注：对恶意修改的防范在安全防范计划中做出规定(见6.3.3)。应根据电厂实际情况的限制，对系统需要经受的正常和极端环境条件的范围做出规定(见5.2.4)。需要规定的环境条件包括：注1:以下标准提供了与电磁干扰有关的详细指导：GB/T17799.2和GB17799.4规定了最低的抗扰度等级和发射限值。GB/T17626系列标准提供了可接受的鉴定试验方法。NB/T20218提供了鉴定参数的补充澄清以及GB/T17626系列标准的准则以保证满足核安全的要求(如对1级或2级系统)。c)电源和散热条件。安全重要系统应进行鉴定。基于计算机的系统鉴定包括硬件(包括符合适用的环境条件)、系统软注1:还需要考虑工具的鉴定。所选择的鉴定方法取决于对工具的可靠性要求、工具引入差错和缺陷的风险、以及对工具输出的验证范围。NB/T20054和NB/T20055对此提供了指导。鉴定确认设计和设备与要求的符合性。它涵盖了系统技术规格书中的所有方面，即系统特性与将要求细分到系统层面以及细分到系统将使用的现有硬件和软件层面是很好的实践。这种方法便于采用分步的方法进行鉴定，即采用现有设备的已有鉴定证明(预鉴定，通用鉴定),或对硬件部件和软可行性。详见6.5。本阶段的目标是提供系统硬件和软件架构的顶层描述，规定为实现系统功能要使用的或待开发的系统需求规格书和候选的现有设备的文档属于系统技术规格书输入资料的一部分。本阶段的输出文档(见6.4.3)将作为系统生命周期后续阶段为实现该软硬件结合的系统所开展的GB/T40444—2021各项活动的输入。系统技术规格书应规定：a)所使用的设备；b)单个1&.C系统的架构；c)软件需求；d)应用功能在子系统中的分配。注1:现有部件可以是商品级物项(也称为“COTS”)或某个制造商内部使用的专有产品。注2:NB/T20054—2011第15章为A类功能规定了可复用现有软件的接收准则。NB/T20055—2011的5.3和a)应评价和确定候选部件的适用性，以证明它们的特性符合系统需求规格书的要求。b)候选部件的适用性评价和确定宜以两套文档的比较为基础：系统需求规格书和现有部件的文档。后者包括产品技术说明书以及(如可得到)预鉴定报告。c)应满足下述要求：1)应分析所提供的文档是否对所有部件的功能和特性做了明确规定；工具。2)未明确规定的特性应由分析和试验来确定并使其明确；3)根据文档应可以确定在预期的部件配置下电厂应用功能的可靠性和性能；4)文档应规定现有部件相关的软件工程方法和工具的功能和特性；5)应确定不使用的功能(即包含在设备内但不会用到的功能),并证明这些功能不会危及所要求的功能。注4:如果现有部件的有些属性和特征在设备文档中没有明确规定，或者为满足系统需求征或功能的使用作了限制，则可能需要为该部件生成一份专门的、定制的文档作为特定应用鉴定的基础(见d)如果发现系统需求规格书与设备族的技术说明书之间存在差异，表明该设备不适合预期系统的级别，则应拒绝该设备。适用性评定